it-swarm-vi.com

Tại sao khó bắt "Ẩn danh" hoặc "Lulzsec" (nhóm)?

Tôi không biết bảo mật, và nếu là tôi, có lẽ tôi sẽ không hỏi câu hỏi này. Là một người theo dõi tin tức công nghệ thông thường, tôi thực sự ngạc nhiên bởi sự phẫn nộ của Ẩn danh (nhóm hacker) , nhưng là một nhà tư tưởng phê phán, tôi không thể kiểm soát sự tò mò của mình để đào ra chính xác họ đang làm điều này như thế nào? Thành thật mà nói, nhóm này thực sự làm tôi sợ.

Một điều mà tôi không hiểu là làm thế nào họ chưa bị bắt. Địa chỉ IP của họ phải được theo dõi khi họ DDOS, ngay cả khi họ giả mạo hoặc thông qua proxy.

  • Máy chủ mà họ đang giả mạo nên đã ghi lại IP của những kẻ này trong nhật ký của nó. Nếu chính phủ. Hỏi công ty (sở hữu máy chủ) họ không cung cấp nhật ký?
  • Ngay cả khi đó là một máy chủ riêng thuộc sở hữu của những kẻ này, IANA (hoặc bất kỳ tổ chức nào) không có địa chỉ và chi tiết thẻ tín dụng của anh chàng đã mua và đăng ký máy chủ?
  • Ngay cả khi họ không có điều đó, các ISP có thể quay trở lại nơi các gói này bắt nguồn không?

Tôi biết, nếu nó đơn giản như tôi đã nói, chính phủ đã bắt được chúng rồi. Vậy làm thế nào chính xác là họ có thể trốn thoát?

Tái bút: Nếu bạn cảm thấy có bất kỳ tài nguyên nào sẽ khai sáng cho tôi, tôi sẽ rất vui khi đọc chúng.

[Cập nhật - điều này cũng phù hợp không kém khi đề cập đến nhóm Lulzsec , vì vậy đã thêm một liên kết nhanh đến trang Wikipedia trên chúng]

102
claws

Câu trả lời của tôi chọc vào câu hỏi ban đầu. Điều gì khiến bạn nghĩ rằng họ không bị bắt?

CIA và DoD đã tìm thấy Osama bin Laden.

Các phương tiện điển hình bao gồm OSINT, TECHINT và HUMINT. Pháp y có thể được thực hiện trên Tor. Các công cụ xóa an toàn như sdelete, BCWipe và DBAN không hoàn hảo. Các công cụ mã hóa như GPG và Truecrypt không hoàn hảo.

Thông tin liên lạc trực tuyến có lẽ là thế mạnh lớn nhất của Osama bin Laden (anh ta có các giao thông viên đi đến các quán cà phê mạng xa bằng email trên các ổ đĩa flash USB) và điểm yếu lớn nhất của Anonymous/LulzSec. Họ thường sử dụng không được mã hóa IRC. Bạn nghĩ rằng ít nhất họ sẽ sử dụng OTR thông qua Tor với proxy SSL đến (các) máy chủ liên lạc IM thay vì lưu lượng văn bản rõ ràng thông qua nút thoát.

Việc sử dụng phổ biến các tiện ích của họ như Havij và sqlmap chắc chắn có thể gây tác dụng ngược. Có lẽ có một lỗ hổng phía máy khách trong Python VM. Có lẽ có tràn bộ đệm phía máy khách ở Havij. Có lẽ cũng có các cửa hậu.

Vì bản chất chính trị của các nhóm này, sẽ có những vấn đề nội bộ. Tôi thấy một số tin tức gần đây rằng 1 trong 4 tin tặc là người cung cấp thông tin cho FBI.

Không "khó" bắt "ai". Một người khác trên các diễn đàn này đề nghị tôi xem video từ một bài thuyết trình về Defcon nơi người thuyết trình theo dõi một kẻ lừa đảo Nigeria bằng cách sử dụng các khả năng biến đổi tiên tiến ở Maltego. Các khả năng OSINT của Maltego và Notebook của Nhà phân tích nhóm i2 là vô hạn. Một chút gợi ý; một lỗi nhỏ OPSEC - và một sự đảo ngược xảy ra: thợ săn hiện đang bị săn đuổi.

66
atdre

Từ một số kinh nghiệm với thực thi pháp luật và pháp y, tôi có thể nói một trong những vấn đề lớn nhất là các ISP thực sự không muốn phải theo dõi người dùng. Một khi họ vượt qua một cấp quản lý nhất định, họ sẽ mất tư cách 'nhà cung cấp chung' và trở nên chịu trách nhiệm về rất nhiều những gì khách hàng của họ có thể làm.

Ngoài ra, nhiều quốc gia không muốn truyền thông tin cho một quốc gia khác - đặc biệt là các quốc gia có thể trái ngược với văn hóa phương Tây hoặc sự can thiệp của phương Tây.

Và nó cực kỳ dễ dàng để che giấu hầu hết mọi thứ trên internet.

Về ba điểm của bạn:

  • Máy chủ nên có địa chỉ IP - Không - việc này rất đơn giản để giả mạo hoặc xóa
  • Máy chủ riêng - Không có khả năng, mặc dù có thể - nhưng đó sẽ không phải là thẻ tín dụng của họ được sử dụng
  • Dấu vết của ISP - Sẽ không xảy ra - điều đó không ảnh hưởng tiêu cực đến ISP và quá khó khăn

cập nhật Nó có thể xảy ra sau tất cả - http://bloss.forbes.com/andygreenberg/2011/03/18/ex-anonymous -hackers-plan-to-out-Groups-thành viên /

42
Rory Alsop

Một trong những khía cạnh quan trọng nhất của một cuộc tấn công như thế này là che dấu vết của bạn. Có rất nhiều cách khác nhau để làm điều này, vì nó phụ thuộc vào công nghệ. Để giải quyết các câu hỏi cụ thể của bạn:

Khi họ DDoS: Nếu trận lụt đến từ chính máy của họ, thì việc theo dõi chúng sẽ khá dễ dàng. Vấn đề nằm ở chỗ họ không sử dụng máy của chính họ. Họ hoặc là a) kiểm soát ai đó elses mà không được phép, hoặc b) bắt ai đó làm điều đó thay cho họ. Thứ hai là những gì đã xảy ra với các cuộc tấn công Wikileaks. Mọi người đăng ký để làm điều đó.

Mọi thứ bắt đầu trở nên tồi tệ khi các máy chủ ở các quốc gia thường không đáp ứng với các yêu cầu cho nhật ký. Nếu công ty đang bị tấn công ở Mỹ, việc ra lệnh của tòa án là khá dễ dàng nếu cuộc tấn công có thể được chứng minh là bắt nguồn từ Hoa Kỳ. Điều gì xảy ra nếu đó là mục tiêu của Hoa Kỳ, nhưng cuộc tấn công bắt nguồn từ Nga hoặc Trung Quốc? Điều tương tự cũng xảy ra đối với hồ sơ mua hàng.

Vì sợ hãi ... có khá nhiều nhóm như vậy. Hầu hết trong số họ là (tôi không muốn nói vô hại, nhưng ...) vô hại. Trong trường hợp cụ thể này, ai đó chọc con gấu và con gấu nổi giận.

EDIT: Không phải tôi tha thứ cho hành động của họ, blah blah blah.

29
Steve

Ngoài các câu trả lời đã được đưa ra, một lý do khác rất khó để bắt nặc danh là vì nặc danh có thể là bất cứ ai, theo nghĩa đen. Tôi có nghĩa là điều này theo hai cách. Đầu tiên, tin tặc có thể sử dụng kết hợp phần mềm độc hại, phần mềm gián điệp và bot để truy cập và sử dụng/vòng lặp thông qua các máy tính của người khác ở bất cứ đâu trên thế giới; do đó, làm cho bất kỳ máy tính nào, về mặt lý thuyết, một điểm mà nặc danh có thể hoạt động. Thứ hai, đúng với tên nặc danh, bất kỳ hacker nào, ở bất cứ đâu, sử dụng bất kỳ phương thức hoặc kiểu nào, sử dụng bất kỳ mô hình hoạt động ngẫu nhiên nào, đều có thể thực hiện cuộc tấn công của họ và tự gọi mình nặc danh. Do đó, chính phủ/cơ quan có thẩm quyền rất khó theo dõi hoạt động theo mô hình hoặc phong cách hoặc chữ ký, bởi vì nó luôn thay đổi do tính chất đa dạng của các cuộc tấn công vì như tôi đã nói trước đây, theo nghĩa đen là từ bất kỳ ai.

Bản chất,

Ẩn danh không phải là một người ... Ẩn danh không phải là một nhóm ...

Ẩn danh là bất cứ nơi nào và ở mọi nơi ... Ẩn danh có thể là tất cả mọi người hoặc không ai ...

Thật không may, đó là bản chất, tính độc đáo và thiên tài của tên.

19
Eli

Có một số cách để tin tặc che dấu vết của chúng ..

Đây là một ví dụ rất khái quát:

Một hacker có thể thỏa hiệp với máy của bên thứ ba và sử dụng nó để thực hiện các cuộc tấn công thay mặt cho tin tặc. Do hệ thống bị xâm nhập, tin tặc có thể xóa/sửa đổi nhật ký. Một hacker cũng có thể cõng máy, như đăng nhập vào máy A, từ máy A đăng nhập vào máy B, từ máy B đăng nhập vào máy C, từ máy C tấn công máy D, sau đó xóa nhật ký cho máy C, B, rồi A làm cho việc theo dõi tin tặc trở nên khó khăn hơn.

Điều này thậm chí không tính đến các tài khoản internet bị hack (vì vậy ngay cả khi truy ngược lại chúng chỉ đến một người khác), proxy mở, v.v.

Tôi biết những điều trên không hoàn hảo, nhưng như tôi đã nói đây chỉ là một ví dụ RẤT RẤT RẤT. Có nhiều cách để che dấu vết của bạn.

Điều đó nói rằng, điều gì khiến bạn chắc chắn rằng 3 cơ quan thư nhất định không biết nhiều người trong số họ là ai, nhưng đừng có động thái với họ để những cá nhân đó có thể dẫn họ đến những người khác?

Tôi chắc rằng những người khác sẽ kêu gọi ai có thể giải thích cặn kẽ hơn, nhưng tôi nghĩ rằng bài học cuối cùng cần học là quan tâm đến bản thân ít hơn với các tin tặc và các nhóm hack cụ thể và hơn thế nữa với bảo mật của chính bạn. Việc tuyên bố nổi tiếng mới nhất của họ bắt nguồn từ một cái gì đó là TRIVIAL để khắc phục lỗ hổng SQL Injection (không có gì mới, được ghi chép và hiểu rõ) là một sự bất đồng lớn đối với "công ty bảo mật" giấu tên đã bị hack. giận dữ

16
Purge

Vâng, tôi đã trả lời một số bài viết ở trên có thông tin không chính xác, nhưng tôi nghĩ rằng tôi chỉ nên đăng phản hồi của riêng mình để giải thích rõ hơn.

Ẩn danh được tạo thành từ 2 nhóm cơ bản:

  1. Skiddies (kiddies kịch bản) và những người mới chỉ có kiến ​​thức bảo mật cơ bản nhất và chỉ ngồi trong IRC và về cơ bản là những người bị tấn công. Đây là những người mà FBI đã đánh gục cửa của họ.

  2. Lãnh đạo nòng cốt ẩn danh, một nhóm có một số kiến ​​thức hack sở hữu hb, nhưng cũng được sở hữu bởi đội hack ninja gần đây. Bạn sẽ không thể theo dõi nhóm con này trừ khi bạn là một chuyên gia bảo mật.

Làm thế nào để họ ẩn dấu vết của họ?

Giống như một người trả lời trước đã đề cập,

  1. Thông qua máy chủ proxy như Tor
  2. bằng cách thỏa hiệp các hộp và khởi chạy các cuộc tấn công từ các hộp đó (về cơ bản là giả dạng IP của người đó), hoặc
  3. bằng cách sử dụng VPN ở nước ngoài và không giữ nhật ký. Với VPN, tất cả lưu lượng truy cập của bạn được chuyển tiếp qua nó, do đó, bất cứ nơi nào bạn kết nối, nó chỉ có thể theo dõi lại phần bổ sung IP cho chính VPN và không thể tiếp tục (trừ khi VPN giữ nhật ký trong trường hợp bạn không nên sử dụng nó).

Hy vọng điều này sẽ giúp làm rõ một chút.

16
mrnap

Vấn đề của DDoS là bạn sử dụng IP của người khác , không phải của riêng bạn. Nó tương đối đơn giản để trở nên không thể truy cập được trên Internet - chỉ cần định tuyến lưu lượng truy cập của bạn mặc dù Máy chủ lưu trữ không lưu giữ nhật ký giao thông. Là một người thường xuyên phải cố gắng theo dõi những người này, tôi có thể nói cho bạn biết đó là một cơn ác mộng không thể xảy ra. Đây là mẫu tôi thường thấy:

  1. Chọn một khai thác tương đối gần đây trong một số gói phần mềm web (ví dụ: phần mở rộng j Joomla).
  2. Sử dụng google để tìm mục tiêu tấn công dễ bị tấn công
  3. Từ một số vị trí không thể truy tìm được bạn (ví dụ: quán cà phê), hãy thực hiện cuộc tấn công để giành quyền kiểm soát máy chủ dễ bị tấn công, nhưng đừng làm gì khác để thu hút sự chú ý của bạn. (điểm thưởng, khắc phục lỗ hổng để không ai đến sau bạn). Xóa bất kỳ nhật ký có thể theo dõi trở lại vị trí giả định của bạn.
  4. Lặp lại ở trên, chuyển tiếp lưu lượng truy cập của bạn thông qua máy chủ bị xâm nhập trước đó. Lặp lại nhiều lần cho đến khi bạn loại bỏ nhiều bước khỏi máy sẽ hoạt động như proxy của bạn. Lý tưởng nhất là các máy chủ này nên được đặt tại các quốc gia như Trung Quốc, Ấn Độ, Brasil, Mexico, v.v., nơi các công nghệ trung tâm dữ liệu có xu hướng không hợp tác đối với các cuộc điều tra và nên tất cả được đặt tại các quốc gia khác nhau để tạo ra những cơn ác mộng về thẩm quyền và giao tiếp đối với những người đang cố gắng theo dõi bạn.

Xin chúc mừng, bạn hiện đang ẩn danh trên Internet. Nó hơi giống Tor, ngoại trừ không có nút nào biết họ đang tham gia. Thông thường những kẻ tấn công này thiết lập và sử dụng các cửa hậu trên các máy chủ không lưu giữ nhật ký hoặc hồ sơ (vì cửa sau có lẽ không tồn tại). Một khi kẻ tấn công ngắt kết nối, liên kết đó sẽ vĩnh viễn không thể truy cập được.

Một bước nhảy làm giảm cơ hội phát hiện của bạn một cách đáng kể. Hai bước nhảy làm cho việc phát hiện gần như không thể. Ba bước nhảy và nó thậm chí không đáng nỗ lực.

10
tylerl

Có lẽ bạn nên đọc bản PDF này . Họ không phải là vô danh. Công cụ LOIC được sử dụng cho DDOS, rò rỉ IP gốc của người sử dụng nó. Bạn có thể sử dụng phiên bản trình duyệt (JavaScript) của cùng một công cụ, có thể ẩn đằng sau Tor.

Liên bang HBGary tiết lộ tên và địa chỉ của họ trong bản PDF đó. Đó là lý do tại sao họ tấn công trang web của anh ấy, gửi email, xóa iPad của anh ấy, chiếm lấy Twitter của anh ấy, v.v .... Tìm kiếm hashtag #hbÿ trên Twitter để biết thêm thông tin về điều đó.

4
labmice

Một số bài viết thảo luận về những khó khăn kỹ thuật trong việc tìm kiếm những người đằng sau các nhóm này. Hoàn toàn không dễ dàng để quay lại hoạt động của họ khi sử dụng nhiều máy móc để tạo cảm giác ẩn danh.

Một khía cạnh rất quan trọng khác là cảnh sát, cộng đồng tình báo trên toàn cầu và các luật khác nhau của các quận không thực sự được xây dựng để xử lý các tình huống này. Vì vậy, nếu bạn tìm thấy một máy chủ ở một quốc gia đã được sử dụng để nhảy đến một máy chủ ở một quốc gia khác, sẽ mất quá nhiều thời gian để đi qua các kênh thích hợp để cảnh sát địa phương nắm bắt thông tin. Ngay cả khi bạn làm các thông tin như nhật ký không phải lúc nào cũng được giữ trong thời gian dài hơn.

Thật dễ dàng để nhảy bất hợp pháp trên Internet, nhưng chậm hơn rất nhiều để nhảy xung quanh Internet một cách hợp pháp. Đây là một yếu tố rất cấm khi cố gắng tìm các nhóm này.

3
bengtb

Đây là một bài viết hỏi (và trả lời) chính câu hỏi đó từ trang Khoa học Mỹ đăng trong tháng này. Câu trả lời ngắn cho câu hỏi là giả mạo địa chỉ nguồn và sử dụng proxy.

1
mvario

Có một điều chưa được đề cập đến: yếu tố con người.

Các nhóm này không có hệ thống phân cấp như vậy, thay vào đó chúng hình thành xung quanh một tập hợp các ý tưởng. Hầu hết thời gian, ý tưởng chung duy nhất là "chính phủ sai, chúng ta phải thực thi công lý bằng cách hack", đó có lẽ là một cảm giác chỉ trở nên mạnh mẽ hơn, với áp lực hiện tại mà chính phủ Mỹ (tự gây áp lực bởi các tập đoàn) đang đặt ra ở các quốc gia khác dưới vỏ bọc để thông qua luật pháp hà khắc chống lại tự do ngôn luận có thể gây tổn hại cho các tập đoàn nói trên.

Vì vậy, điều hấp dẫn ở đây, đặc biệt là bởi Anonymous, là nếu bạn có kiến ​​thức và ghét chính phủ (ai không?), Bạn có thể tự mình tham gia với họ và trên tài khoản của riêng bạn và gặp rủi ro.

Để xem suy nghĩ này đến từ đâu, tôi đề xuất bộ phim/tiểu thuyết truyện tranh "V for Vendetta", từ đó họ lấy mặt nạ mà bạn thường thấy.

Một số nhóm, tất nhiên, có ý định anh hùng ít hơn nhiều. LulzSec là "tất cả cho lulz".

Điểm mấu chốt là có, họ có thể có một vài thành viên của mỗi nhóm, nhưng nhiều hơn sẽ xuất hiện.

0
Camilo Martin

Tin tặc có thể bị bắt, Ẩn danh không thể. Ẩn danh là một tập thể bị mất đến nỗi nó không bị tổn thương nghiêm trọng bởi việc thực thi pháp luật tấn công vào các tin tặc cá nhân. Tuy nhiên, nó phản ứng dữ dội chống lại bất kỳ tổ chức nào cố gắng làm như vậy. Điều này có nghĩa là

  • Rất khó để hạ gục Anonymous chỉ bằng cách bắt các thành viên của nó.
  • Vô danh sẽ làm cho cuộc sống khó khăn trên bất cứ ai cố gắng.

Tất cả những gì nặc danh phải làm là tiếp tục "không đáng nỗ lực" để theo đuổi các thành viên của mình và nó sẽ tiếp tục miễn phí. Tuy nhiên, họ chơi một trò chơi nguy hiểm. Nếu công chúng quyết định rằng họ là một mối phiền toái đủ, thì đột nhiên sẽ đáng giá để theo dõi và bắt các thành viên của nó, chịu đựng các cuộc tấn công phản công của Anonymous khi họ đi.

0
Cort Ammon